流量分析(护⽹⾯试题)
⽂章⽬录
Webshell流量交互的流量特征
1)Webshell是⽤来控制服务器的,在控制服务器的过程中,就会触发许多系统
函数,例如eval、z0(菜⼑特征)、shell.需监控这些关键的函数,具体需要查看
是哪个⽹页发起的请求进⾏鉴别。
2)Webshell连接可能使⽤base64编码,正常功能也会使⽤base64容易引起误
网站流量统计分析工具报,⼀般与eval数量对⽐,数量差异较⼩时可能被上传webshell进⾏编码通讯。
3)除了系统函数、base64编码通讯外,还存在int_set(“display_errors",0").为
Webshell流量特征之⼀。
4)还可以监控ifconfig whoami ipconfig等关键命令,这是获得Webshell后基本
上都会执⾏的命令。
批量检查http服务
⽅法⼀:直接使⽤nmapsV.py⼯具即可,⽤法为python3nmapsV.
⽅法⼆:使⽤nmap⼯具扫描,带上-sV参数进⾏版本识别即可,将待检测的IP地址/地址段添加进ip.txt⽂件中。
使⽤命令-oAOUTPUT--no-stylesheet,扫出来的结果导出 nmap⽂件,使⽤nampReport ⼯具得出结果。
存活性探测的简要步骤
使⽤nmap⼯具进⾏存活性探测使⽤nmap,命令-oA OUTPUT --no-stylesheet
在Linux中使⽤ap |grep Up |awk'{print $2y'>即可得到存活IP
数据库短时间内查询异常次数增多
SQL查询异常流量分析的思路
1、数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注⼊测试】,可以结合流量分析⼯具进⾏研判
2、【select】和【union】为数据库查询语句特征,当这两者数量出现次数较多⽽且差异较⼩可能存在SOL注⼊漏洞或正在被扫描器扫描,可监控这两个关键字,但还需
要进⼀步查看具体请求参数。如:
1)使⽤wireshark打开抓取后的流量包
2)对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较⼤的IP
3、尝试定位⼀些基本的注⼊特征(select、union、()、/*、sleep等)
流量分析溯源的思路
假设发现web应⽤服务器发现⽂件异常增多,初步怀疑被上传webshell,描述流量分析溯源的思路
可利⽤流量⼯具进⾏溯源:
1)查看eval、z0、shell、whoami等关键字,查看出现次数过多的时候,可能
需要查看是哪个页⾯发起的请求,有可能是webshell
2)通过 WireShark ⼯具快速搜索关键字,定位到异常流量包
3)出异常IP和所上传的内容,查看是否为webshell
如何定位到攻击IP:
1)⾸先通过选择-统计-对话查看流量的⾛向情况,定位可疑的IP地址
2)根据定位到的IP地址,尝试对上传的webshell进⾏定位ip.addr ==ip &&http matches "uploadleval|select|xp_cmdshell"&& hod == "POST"
3)查到 Webshell后尝试溯源漏洞位置,quest.uri contains“webshell.php”,定位到最开始webshell执⾏或上传的时候
4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型
wireshark简单的过滤规则
【过滤ip】:过滤源ip地址:ip.src1.1.1.1;⽬的ip地址:ip.dst1.1.1.1;
【过滤端⼝】:过滤80端⼝:tcp.port80,源端⼝:tcp.srcport80,⽬的端⼝:tcp.dstport==80
【协议过滤】:直接输⼊协议名即可,如http协议http
【http模式过滤】:过滤get/post包hod=="GET/POST"
常见取证分析⼯具
wireshark、xplico、volatility、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。